Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Заранее извиняюсь за то что нарушил правила. Завтра скину логи с AVZ дабы очень срочно нужна помощь. (как ни странно) Первый раз на форумах и не в курсе как быстро тут ответят.

Вкратце. Комп с работы. Windows XP. Откуда взялась проблема не знаю.

1. Как только запустилась винда выдает сообщение об ошибке - (верхушка) Winlogon.exe (Текст) Приложение или библиотека С:\ Windows\Sistem32\sfc.dll не является образом программы для Windows NT.

2. Вставил жесткий диск он выдал сообщение о том что для устройства Volume (Хотя диск My pasport) не нашлось драйверов. И оно не отображается в Мой компьютер. (любое устройство будь то флешка или расширитель УСБ пишет в табличке в нижнем правом углу как Volume) флешка запускается.

3. Самое интересное то что этот "наверно и не один вирус" заблокировал все сетевые подключения. Захожу в сетевые подключения он думает около пяти минут а потом выдает пустое окно. Пытаюсь закрыть виснет. Ни локальной ни само собой интернет.

4.Пытался запустить службы (к примеру) Брандмауер Windows\ общий доступ к Интернету (ICS) На локальный компьютер. Ошибка 1058. Не удалось запустить дочернюю службу.  Еще служба "Рабочая станция на локальный компьютер" Ошибка: 193: 0хс1. Пытался и другие запустить все одно либо дочерняя служба либо ошибка.

5. Диспетчер не открывается. 

6. Проверил Dr. web и утилитой касперского. Оба нашли только один вирус. Касперский распознал его как Trojan.Downloader.banload.aalal . Удалил но ничего не изменилось.

Проверял AVZ но так как я в нем не разбираюсь особо ничего не понял. в CMD выполняю Ping .......... ничего не видит. С других компов его тоже не видно

7. Имеет значение или нет но... на другом компьютере тоже самое. В журнале система три сообщения. (Вложенный архив)

 

P. S.

 

Завтра я обязательно скину скрины ошибок, лог АВЗ и всё что еще потребуете)) попробую всё что подскажите по данной теме.

 

Я понимаю что много писанины а вы работаете на основе логов в которых всё описано. Но может на основе выше сказанного что то уже можете подсказать. Или скажите что нужно сделать, прислать вас для того чтобы разобраться в проблеме.

Фото с ошибками.rar

post-39069-0-79354000-1466887793_thumb.jpg

Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4879');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Опубликовано

@thyrex, Подскажите если можно. Что именно случилось и как вы это исправили. Просто он видимо по локальной сети гуляет и это может повторится. Могу ли я сделать то же самое на други ПК или нужно делать новые логи и опять всё по новой? Это какой то новый виру я так понимаю? Обьясните пожалуйста как будет время

Опубликовано

Пока идет зачистка мусора. Не уверен, что тут не проблемы самой системой.

 

Скрипты пишутся на основании собранных логов под конкретный компьютер. А потому применять на других машинах не стоит.

Опубликовано

@thyrex, получилось только на третий раз. Первые два закончились синим экраном.

1) BAD pool header......Technical information **** STOP : 0x00000019 (0x00000020, 0xE1A64910, 0xE1A64938, 0x0C050201).

2) BAD pool header.....Technical information **** STOP : 0x00000019 (0x00000020, 0xE18C73C0, 0xE18C74A0, 0x0C1C0203).

 

Новые логи

CollectionLog-2016.06.26-13.43.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

@thyrex, Вот.  А вот с сайтом не разобрался ((( Техподдержка - онлайн сканер касперского?

FRST.rar

Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [4879] => C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\cckayy.exe
S3 11D16D7A; \??\C:\WINDOWS\TEMP\11D16D7A.sys [X]
S3 4CFE5B9; \??\C:\WINDOWS\TEMP\4CFE5B9.sys [X]
S3 4D7D3A9; \??\C:\WINDOWS\TEMP\4D7D3A9.sys [X]
S3 5254783; \??\C:\WINDOWS\TEMP\5254783.sys [X]
S3 54FF059; \??\C:\WINDOWS\TEMP\54FF059.sys [X]
S3 57C535E; \??\C:\WINDOWS\TEMP\57C535E.sys [X]
S3 59120D0; \??\C:\WINDOWS\TEMP\59120D0.sys [X]
S3 5B092BF; \??\C:\WINDOWS\TEMP\5B092BF.sys [X]
S3 5ED342C; \??\C:\WINDOWS\TEMP\5ED342C.sys [X]
S3 65895D8; \??\C:\WINDOWS\TEMP\65895D8.sys [X]
S3 69FE4BC; \??\C:\WINDOWS\TEMP\69FE4BC.sys [X]
S3 72CA9C3; \??\C:\WINDOWS\TEMP\72CA9C3.sys [X]
S3 AA0DD75; \??\C:\WINDOWS\TEMP\AA0DD75.sys [X]
S3 C476113; \??\C:\WINDOWS\TEMP\C476113.sys [X]
S3 E329FCF; \??\C:\WINDOWS\TEMP\E329FCF.sys [X]
C:\Windows\System32\nvrsar.dll
C:\Windows\System32\nvrscs.dll
C:\Windows\System32\nvrsda.dll
C:\Windows\System32\nvrsde.dll
C:\Windows\System32\nvrsel.dll
C:\Windows\System32\nvrses.dll
C:\Windows\System32\nvrsesm.dll
C:\Windows\System32\nvrsfi.dll
C:\Windows\System32\nvrsfr.dll
C:\Windows\System32\nvrshe.dll
C:\Windows\System32\nvrshu.dll
C:\Windows\System32\nvrsit.dll
C:\Windows\System32\nvrsja.dll
C:\Windows\System32\nvrsko.dll
C:\Windows\System32\nvrsnl.dll
C:\Windows\System32\nvrsno.dll
C:\Windows\System32\nvrspl.dll
C:\Windows\System32\nvrspt.dll
C:\Windows\System32\nvrsptb.dll
C:\Windows\System32\nvrssk.dll
C:\Windows\System32\nvrssl.dll
C:\Windows\System32\nvrssv.dll
C:\Windows\System32\nvrsth.dll
C:\Windows\System32\nvrstr.dll
C:\Windows\System32\nvrszhc.dll
C:\Windows\System32\nvrszht.dll
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Опубликовано

Мусор почистили.

Ничего вирусоподобного в логах не было видно изначально.

Как я и писал, скорее это что-то системное.

 

Создайте тему в разделе http://forum.kasperskyclub.ru/index.php?showforum=56

Возможно там посоветуют что-то дельное.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
×
×
  • Создать...